首页 > 单独文章 > 正文

真假木马进程巧分辨(下)

时间:2008-01-22 18:58:22 作者:officeba 【认证】
二、检查端口信息,揪出进程木马
如果你对可疑进程还拿不准,还可以查看该进程使用的端口,获得更多证据。
1. 检测远程IP 是否为网站木马
端口查看工具有很多,其功能也大同小异,这里就以前面介绍的Procexp 工具为例,打开Procexp 操作界面,选择自己认为可疑的进程后,单击“ 右键” 按钮,在弹出的菜单里选择“ Properties ” 选项,或者直接双击可疑进程,也可同样达到打开“ 进程属性” 对话框的目的。然后选择“ TCP/IP ” 选项,可以从中看到程序访问网络的具体情况。如果可疑进程所连接的远程IP 地址端口为80 端口,众所周知这是网站所开放的端口,如果不是那可就有问题了,通过IE 浏览器输入IP 地址进行查询,结果若出现无法打开网站的情况,便可判定它就木马进程。2. 查询远程IP 及其对应的物理地址
假如远程主机连接的不是80 端口,而是其他的数字端口,你就需要知道它确切的实际情况,比如域名地址、实际IP 地址的方位等等。打开“ CMD 命令” 窗口,输入ping - a IP 地址命令,对其IP 进行域名查询后,得知其IP 对应的域名情况。
然后进入IP 地址查询一类站点,将所得到的域名输入,进行查询后可知域名对应的IP 地址及物理地址(如图3 )。目前系统没有跟美国有关系的应用软件,所以可以判定这是一个木马进程,而远程连接的IP 地址很可能是用来操控木马的肉鸡或者黑客的本机。

图3
三、检查注入类的木马
可能大家都会碰到过这种情况,其进程本身没有任何问题,但总是莫名其妙地打开可疑端口,弄得系统总被人入侵。想结束吧,害怕会影响到有关联的正常文件,所以很矛盾。其实我们可以根据进程调用的DLL 文件,核对描述信息逐一检查,很容易揪出捣乱的“ 罪魁祸首” 。
1. 检测DLL 文件产品信息
通常情况下安全进程加载到模块,都会有微软的“ Microsoft Corportaion ” 信息提示,由此也可判断它是否木马。运行Procexp 程序,在工具栏上点击“ View DLLs ” 按钮,然后就可在下面窗口显示出选中进程所调用的DLL 文件。从中你可逐一检查每个DLL 文件Company Name 栏,是否都是Microsoft Corportaion 的标志。如果遇到调用的文件信息为空或者其他公司,那么你就有必要怀疑它的安全性。
2. 通过版本信息来辨真伪
可能根据以上产品信息,对DLL 文件作判断有点太武断,如果怕弄错,你可以进一步分析。右键点击该进程或者DLL 文件,在弹出的属性对话框内,可以查询对应文件的相关信息。通常情况下,安全的文件都会有版本、公司、产品名称等信息,所以针对这种情况你可以查找一下,是否都具备以上信息条件。在非特殊情况下,倘若缺少任何一个信息,那么其文件就很有可能是木马
3. 微软数字签名及“ 时间” 检测
这里不排除有些木马对以上文件的相关信息做了伪装,所以对于这类极难分辨的木马,我们可以通过观看微软数字签名,来识别文件的安全性。在Procexp 列表,右击可疑进程,选择“ Properties ” 选项,在弹出的属性对话框里,点击上方“ Image ” 标签,在显示的Image 页面内,可以看到其进程的描述信息。
其Verify 标签会显示出数字签名的验证信息,微软程序会提示“ ( Verified) Microsoft Windows Publisher ” 信息(如图4 ),如果不是的话,进程信息中会显示“ (not Verified )” 信息。但是对于DLL 文件无法在Procexp 进行数字验证。
微软数字签名及“ 时间” 检测
图4
因此这里只能通过文件“ 创建时间” 和“ 修改时间” 来作出判断。首先要知道系统正常DLL 文件创建的时间和修改时间,然后在系统目录下,找到与其不一样的DLL 文件时间,而这个文件就可以确定是木马DLL 文件。小提示:为了不让细心的用户发现木马进程运行,有很多木马作者在配置木马时,都会勾选上其木马运行的隐藏功能,这样当木马运行时不容易被发现其木马进程。我们可以用《 冰刃》 来查看隐藏进程,打开《 冰刃》 ,编辑区所显示的是当前系统运行的所有程序进程,如果有隐藏进程,其名称会以红色颜色标记上,而这类进程就有可能是为木马进程。 

相关文章

同类最新